Des chercheurs en sécurité ont découvert une nouvelle arnaque liée au groupe Phosphorus APT. Ce groupe de piratage possède un large éventail de compétences, allant du rançongiciel au harponnage ciblé contre des individus de haut niveau.
Check Point Research (CPR) rapporte qu'ils sont sur la piste d'une nouvelle campagne de piratage. Ce groupe d'activités a été nommé Educated Manticore, d'après la créature manticore de la mythologie persane, avec laquelle les chercheurs en sécurité veulent indiquer clairement à partir du nom quelle nation ils soupçonnent d'être derrière la campagne.
Groupes de pirates informatiques d'État d'Iran
Sergey Shykevich, Threat Group Manager chez Check Point Software Technologies, commente : « Dans notre étude, nous avons mis en lumière les capacités en constante évolution des groupes de piratage des États-nations iraniens. À l'instar des cybercriminels ordinaires, qui adaptent leurs chaînes d'infection à l'évolution des environnements informatiques, les pirates informatiques des États-nations utilisent désormais également des fichiers ISO pour contourner de nouvelles mesures contre les fichiers Office infectés, qui étaient populaires jusqu'à présent. Cependant, les outils de cet acteur se sont également améliorés, indiquant l'investissement continu de l'Iran dans l'expansion de ses capacités informatiques d'État.
Phosphorus est un groupe notoire APT (Advanced Persistent Threat) qui opère depuis l'Iran, principalement en Amérique du Nord et dans le monde arabe. Le nouveau groupe qui semble être associé à Phosphorus utilise des méthodes rarement vues, y compris des binaires .NET construits en code d'assemblage en mode mixte. La nouvelle campagne consiste principalement en un hameçonnage contre les Irakiens et les Israéliens, utilisant un fichier image ISO, car de nombreuses protections contre les fichiers Office infectés, tels que de supposés documents Word ou Excel, ont récemment été mises en place par des entreprises et des agences gouvernementales. Dans le dossier ISO, les documents étaient conservés en arabe et en hébreu.
Début d'une chaîne d'infection
Les chercheurs en sécurité de Check Point soupçonnent que cette méthode n'est destinée qu'à agir comme le début d'une chaîne d'infection pour ouvrir une passerelle pour les logiciels malveillants ou les rançongiciels, car : La variante dans les fichiers ISO est une mise à jour d'anciens logiciels malveillants, et les deux peuvent être lié au rançongiciel -Opérations de Phosphorus ensemble. Pour cette raison, les experts conseillent à tous les décideurs informatiques d'installer régulièrement des correctifs et des mises à jour pour leurs produits et applications de sécurité, de former fondamentalement les employés (y compris la direction) à la sécurité informatique contre les menaces et d'adopter une approche consolidée lors de l'achat de solutions de sécurité informatique pour préfèrent au lieu d'acheter une prolifération de solutions individuelles différentes qui fonctionnent mal ensemble et laissent ainsi des lacunes dans la défense.
La détection et la réponse automatisées aux menaces sont devenues essentielles, ainsi que la surveillance automatisée des e-mails (en particulier les pièces jointes) et la réponse aux e-mails. Ceci s'applique également aux fichiers et à leurs activités sur les ordinateurs du réseau. Être lié à un cloud de renseignement sur les menaces est également extrêmement utile, car il fournit des données en temps réel sur les menaces et des données de réponse du monde entier à la solution de sécurité, qui est contrôlée de manière centralisée.
Plus sur Checkpoint.com
À propos du point de contrôle Check Point Software Technologies GmbH (www.checkpoint.com/de) est l'un des principaux fournisseurs de solutions de cybersécurité pour les administrations publiques et les entreprises du monde entier. Les solutions protègent les clients contre les cyberattaques avec un taux de détection des logiciels malveillants, des rançongiciels et d'autres types d'attaques à la pointe du secteur. Check Point propose une architecture de sécurité multicouche qui protège les informations de l'entreprise sur le cloud, le réseau et les appareils mobiles, ainsi que le système de gestion de la sécurité « à un seul point de contrôle » le plus complet et le plus intuitif. Check Point protège plus de 100.000 XNUMX entreprises de toutes tailles.